Freiheit vs. Sicherheit: Wie steht es um "unser" Internet?
Details
Infos zur Podcastfolge
Die Freiheit hat ihre Grenzen dort, wo das Recht der anderen beginnt. Im digitalen Raum gilt das genauso wie in der analogen Welt. Trotzdem scheint dort oft das Recht des Stärkeren zu gelten. Denken wir an Trolle, Cyberkriminelle oder Hacker, welche die kritische Infrastruktur gefährden. Es stellt sich die Frage: Gibt es zu wenig Sicherheit im Internet? Welche Antworten hat Österreich auf die dunkle Seite der Digitalisierung? Wie viel Sicherheit brauchen wir und wie viel Freiheit wollen wir? Und gibt es das eine überhaupt ohne das andere?
Darüber spricht Tatjana Lukáš in dieser Folge mit Sebastian Kneidinger von epicenter.works, einem Verein, der sich für die Stärkung der Demokratie im digitalen Zeitalter einsetzt, und mit Arno Spiegel, dem Leiter des Büros für strategische Netz- und Informationssicherheit im Bundeskanzleramt.
Zum Angebot der digitalen Selbstverteidigung der Epicenter Academy geht es hier.
Informationen der WKO zum Thema Cybersicherheit gibt es hier.
Zur Studie "Cyber Security Österreich 2024" geht es hier.
Wenn Ihr Feedback, Fragen oder Themenvorschlägen zum Podcast habt, schreibt uns gerne an: podcast@parlament.gv.at
© Parlamentsdirektion/BEBE Medien
Wo kann man den Podcast hören?
Folgen Sie unserem Podcast auf:
Transkript
Sebastian KNEIDINGER: Die Menschen wollen eine Technik, der man vertrauen kann. Dieses Vertrauen basiert auf einer gewissen Sicherheit, einer IT-Sicherheit, aber auch aufgrund des Datenschutzes.
Arno SPIEGEL: Es gibt wahrscheinlich noch immer zu wenig Sicherheit im Netz. Obwohl es gute Herangehensweisen gibt, um das zu erhöhen.
KNEIDINGER: Digitale Sicherheit kann nur dadurch entstehen, dass die gesamte Gesellschaft hier vorgeht. Das ist nichts Aufoktroyiertes, das der Staat sozusagen alleine herstellen kann.
SPIEGEL: Ich glaube, dass es einfach schon mehr Awareness gibt. Was ein bisschen vielleicht fehlt, sind diese Guidelines: Was kann ich dagegen machen? Wo und wie kann ich mich besser schützen?
Jingle: Rund ums Parlament. Der Podcast des österreichischen Parlaments.
Tatjana LUKÁŠ: Hallo und herzlich willkommen zu einer neuen Folge von "Rund ums Parlament", dem Podcast des österreichischen Parlaments. Mein Name ist Tatjana Lukáš. Schön, dass ihr wieder mit dabei seid. In dieser Episode geht es um eine Frage, die sich in einer Demokratie immer stellt und die auch vor dem digitalen Raum keinen Halt macht, nämlich: Wie viel Sicherheit brauchen wir und wie viel Freiheit wollen wir? Um über dieses sehr spannende Thema zu sprechen, habe ich mir heute wieder zwei Gäste eingeladen. Das ist einerseits Sebastian Kneidinger. Hallo!
KNEIDINGER: Vielen Dank für die Einladung.
LUKÁŠ: Gerne. Sie arbeiten beim Verein epicenter.works und Sie haben sich der Stärkung der Demokratie im digitalen Zeitalter verschrieben. Stimmt das?
KNEIDINGER: Genau, wir sind ein unabhängiger spendenbasierter Verein, der seit mittlerweile knapp 14 Jahren besteht, also nächstes Jahr dann Jubiläum. Wir setzen uns mit Fragen von Grundrechtspolitik auseinander, besonders im digitalen Kontext. Das heißt Datenschutz, Datensicherheit, aber auch Informationsfreiheit sind für uns immer sehr wichtige Themen. Nachdem diese Thematiken immer wichtiger werden, kommen wir jetzt auch oft zur Ziehung.
LUKÁŠ: Danke fürs Kommen auf jeden Fall. Wir sind schon ganz gespannt auf Ihre Expertise und Ihre Einschätzung zu Freiheit und Sicherheit und dem Verhältnis, das da angestrebt werden soll. Der zweite Gast, den wir heute da haben, ist Arno Spiegel. Sie leiten das Büro für strategische Netz- und Informationssicherheit im Bundeskanzleramt. Herzlich willkommen.
SPIEGEL: Vielen Dank für die Einladung.
LUKÁŠ: Dürfte ich ganz kurz auch vielleicht ein bisschen nach Ihrem Hintergrund fragen? Was sind Ihre täglichen Arbeiten?
SPIEGEL: Oh, wo anfangen? Also unser Daily-Business ist eigentlich der NIS-1-Vollzug. Das ist das erste Netz- und -Informationssystemsicherheitsgesetz. Wunderschöner Name. Das war eigentlich eine Umsetzung einer EU-Richtlinie. Die erste eigentlich große horizontale Richtlinie, die es europaweit zum Thema Cybersicherheit gab. Wir haben das 2018 umgesetzt in nationales Recht. Die Richtlinie an sich war 2016. Es ging darum, die kritische Infrastruktur Österreichs cybersicher zu machen. Ich glaube, wir kommen später noch genauer darauf.
LUKÁŠ: Ich glaube auch. Bevor wir da zu weit gehen. Erzählen wir unseren Hörerinnen und Hörern, die uns sicher schon gespannt lauschen: Wir sind heute wieder im Parlament, und zwar im Lokal 6 im Parlamentsgebäude und hier tagen eine Reihe von Fachausschüssen des Nationalrats. Jetzt frage ich Sie beide mal was Privates, kann man so nicht sagen. Aber waren Sie beide schon mal hier, bevor wir hier jetzt dieses Interview miteinander machen?
SPIEGEL: Ja, ich habe genau da drüben die NIS-2 vorgestellt.
LUKÁŠ: Ah, okay!
SPIEGEL: Ja, ich glaube, es war genau der gleiche Raum.
LUKÁŠ: Sehr gut, also doch ein einprägsames Erlebnis wahrscheinlich.
SPIEGEL: Ja, vor allem auch die Interaktion mit den Abgeordneten ist halt immer sehr, sehr spannend.
LUKÁŠ: Das ist wahrscheinlich ein bisschen so wie die Interaktion mit unseren Hörerinnen und Hörern, denn die werden einen Wissensstand haben, der aufgefrischt werden muss, schätze ich mal.
SPIEGEL: Ja, manchmal. Manchmal hat man auch wirklich sehr gut gebildete Abgeordnete, muss man sagen, die dann auch mit konkreten Vorstellungen kommen. Aber ja, das ist wahrscheinlich die große Masse.
LUKÁŠ: Ja, die Repräsentation des Volkes. Und Sie, Herr Kneidinger?
KNEIDINGER: In diesem schönen Saal habe ich noch nicht sitzen dürfen, aber ich war auch schon mal zu einem Fachausschuss geladen, also konkret zum Innenausschuss des Nationalrats zum besagten NIS-2-Gesetz. Da war ich Experte der Oppositionsparteien und das war ehrlich gesagt schon ein sehr spannender, ein bisschen aufregender Moment. Das Ganze ist ja tatsächlich im Nationalratssaal. Da sitzt man dann auf Seiten der Regierung sozusagen, kriegt dann vielleicht ein bisschen böse Blicke, wenn man ein Gesetz kritisiert, das der Innenminister gerade vorstellen musste, aber es war ein super Austausch. Auch sehr interessant, wie das abläuft, wie man sieht, dass Abgeordnete einfach sehr interessiert sind, teilweise sehr viel Fachwissen haben und das war wirklich eine sehr bereichernde Erfahrung.
LUKÁŠ: Wunderbar, dann gehen wir jetzt zum Thema Sicherheit und Freiheit im digitalen Raum. Da wird ja viel diskutiert, mitunter auch gestritten und gerungen. Klar ist auf jeden Fall, dass im digitalen Raum, genauso wie im analogen, nicht einfach jeder machen können sollte, was er will. Das Internet wurde ja früher der "Wilde Westen" genannt. das hat sich ja ein bisschen verändert. Trotzdem kann man oft den Eindruck gewinnen, dass im Internet das Recht des Stärkeren gilt. Vor allem wenn man an Trolle denkt zum Beispiel, die andere aus Spaß erniedrigen. Oder Cyberkriminelle, die Kreditkarten oder Identitäten kapern. Bis hin zu Hackern, die kritische Infrastruktur infiltrieren, ist das Netz ja trotzdem ein Spiegel der Gesellschaft, wie sie auch im Analogen existiert. Jetzt frage ich Sie beide mal recht provokativ. Herr Spiegel, Herr Kneidinger, gibt es zu wenig Sicherheit im Internet?
KNEIDINGER: Meine Meinung dazu: Sicherheit, das ist kein Zustand, das ist ein ständiger Prozess, der sich immer wieder weiterentwickelt. Und klar, gerade im digitalen Bereich haben wir extrem viel Innovation, von der wir auch profitieren. Das heißt aber auch neue Herausforderungen und denen muss man sich stellen. Aus unserer Erfahrung als Grundrechtsorganisation heraus, wir sind sehr stark in einem Austausch mit der Zivilgesellschaft, weil wir aus der Zivilgesellschaft heraus entstanden sind, da haben wir eines mitbekommen: Die Menschen wollen eine Technik, der man vertrauen kann. Dieses Vertrauen basiert auf einer gewissen Sicherheit, einer IT-Sicherheit, aber auch aufgrund des Datenschutzes. Deshalb fordern wir auch, mehr Zeit, Geld, Arbeit da reinzustecken damit wir alle Vertrauen in die Technik haben.
LUKÁŠ: Wie sehen Sie das, Herr Spiegel? Gibt es zu wenig Sicherheit im Internet?
SPIEGEL: Generell eine schwierige Frage, weil nämlich auch die Antwort etwas komplexer ist. Rein theoretisch ja, allerdings gibt es immer Bestrebungen, die zu erhöhen, versus natürlich dann die Kriminellen, die dann immer entweder einen "step ahead" sind oder nicht. Es gibt jetzt, und daher komme ich eigentlich, diese ganzen Regulativvorhaben, die versuchen hier das ganze Sicherheitsniveau anzuheben. Ich glaube, da soll es auch hingehen. Dass es einfach zumindest eine Baseline gibt, wo man sagt, okay, da fängt man an. Und dann, wie gesagt, die Kriminellen kommen dann immer mit besseren Ideen. Aber wenn man zumindest diese Baseline schon mal hat, dann fängt man schon auf einem höheren Level an als hier. Dementsprechend ja, es gibt wahrscheinlich noch immer zu wenig Sicherheit im Netz. Obwohl es gute Herangehensweisen gibt, um das zu erhöhen, generell.
LUKÁŠ: Also es ist immer eine Art von Aktion und Reaktion, man lernt voneinander quasi die beiden Seiten, oder?
SPIEGEL: Ich fürchte ja.
LUKÁŠ: Welche konkreten Antworten hat denn Österreich jetzt auf die dunkle Seite der Digitalisierung? Es gibt ja zum Beispiel das Cybercrime Competence Center, oder wie man vielleicht auf Deutsch, auf Halbdeutsch sagen könnte, das Cybercrime-Kompetenz-Center beim Bundeskriminalamt, aber es gibt ja auch Gesetze, die die Sicherheit im Netz erhöhen sollen. Können wir da vielleicht plakative Beispiele sagen? Vielleicht gar nicht die Gesetze, sondern vielleicht an Beispielen klar machen, welche Antworten Österreich auf die dunkle Seite der Digitalisierung hat.
SPIEGEL: Ja, gerne. Ich meine, man muss auch sagen: Vorsicht, das ist Österreich. Ich kann jetzt nicht für alle sprechen, weil gerade Cyber-Sicherheit, die Kompetenz-Aufteilung in Österreich divers. Dementsprechend, wenn man wirklich aus strafrechtlicher Sicht, also gerade widerrechtlicher Zugriff auf Computersysteme, wo es anfängt, da sind wir halt im StGB, also unser Strafgesetzbuch, da fängt es an. Dann haben wir hier, und dafür kann ich sprechen, diese anderen "vorbeugenden" Maßnahmen wie die NIS-2-Richtlinie, die NIS-1-Richtlinie, wo es darum geht, vorweg schon die ganze Industrie, die ganzen Unternehmen sicherer zu machen, vorab. Und dann natürlich, falls die, warum auch immer, die Sicherheitsmaßnahmen, die die Richtlinien von ihnen verlangen, nicht umsetzen, dann kommt wieder "die Bestrafung" in Form einer Geldstrafe oder sonst irgendwas. Aber es geht eigentlich darum, also aus unserer Sicht, das ganze Sicherheitsniveau so zu erhöhen und, wie gesagt, die Kompetenz für wirklich die ganzen Strafgesetze, das liegt woanders bei uns in Österreich.
LUKÁŠ: Verstehe. Also eine Frage von mir nach dem individuellen Schutz einzelner Bürger und Bürgerinnen verläuft jetzt hier in dieser Runde eher ins Leere, weil es hier eher um allgemeine Baselines geht, oder?
SPIEGEL: Nein, gerade Baseline, das ist super. Wir, das Bundeskanzleramt, auch gemeinsam mit den Kollegen aus dem Innenministerium und mit der Wirtschaftskammer haben jetzt erst unlängst veröffentlicht – und das geht wirklich in diese Richtung Grundschutz der Bürger, jetzt abgesehen davon, ob man normenunterworfen ist unter NIS – diese Baseline Security. Gerade mit der Wirtschaftskammer haben wir jetzt erarbeitet in einer, wir würden sagen, Public-Private-Partnership, sprich eine gemeinsame Erarbeitung von der öffentlichen Hand gemeinsam mit der Industrie, mit den dann später vielleicht noch Unterworfenen oder den Betroffenen, haben wir eine sogenannte Baseline Security erarbeitet. Das sind im Prinzip 13 Fragen, wo sich die Kleinstunternehmen in Österreich einfach die Frage stellen können: Habe ich ein kleines Risikomanagement? Wir nehmen immer den Friseurladen als Beispiel. Auch ein Ein-Mann-Unternehmen, ein Ein-Frau-Unternehmen kann sich überlegen: Was kann ich machen, dass mein Betrieb selbst vielleicht ein bisschen cybersicherer wird? Dafür dient diese Baseline Security. Das versuchen wir auch ein bisschen zu promoten, weil jeder kann sich das anschauen und sagen, ja, habe ich das? Und wenn ich das nicht habe, warum habe ich das nicht? Das sind einfach so kleinste Maßnahmen, die jeder treffen kann, dass man sich selbst weniger angreifbar macht.
KNEIDINGER: Vielleicht darauf aufbauend: Unsere Auffassung von Cybersicherheit ist sozusagen die, das kann etwas sein, das durch die gesamte Gesellschaft geleistet wird. Durch die Digitalisierung ist das Wissen verstreut. Ich habe halt staatliche Akteure, die zum Beispiel uns was Böses möchten, genauso Kriminelle, die uns was Böses möchten. Wir haben aber auch andere Angriffsfaktoren. Das heißt, jeder Friseur, jetzt wie das Beispiel war, kann theoretisch davon betroffen sein. Das heißt, digitale Sicherheit kann nur dadurch entstehen, wenn die gesamte Gesellschaft hier vorgeht. Das ist nichts Aufoktroyiertes, das der Staat sozusagen alleine herstellen kann. Deshalb muss man auch ein bisschen anders vorgehen als bisher in der polizeilichen oder Sicherheitsarbeit. Was da wichtig ist: Vertrauen aufbauen, auf die einzelnen Akteure und Stakeholder zugehen und dann gemeinsam Möglichkeiten suchen, dass wir Cyber-Sicherheit herstellen.
LUKÁŠ: Was mir bei dem Gedanken jetzt nochmal von dem Friseurladen kurz kam, ist, ist sich die Bevölkerung überhaupt darüber bewusst, was für Gefahren es gibt? Denn um sich informieren zu wollen, muss einem ja überhaupt einmal die Gefahr klar sein. Was für Gefahr droht der EPU, dem Friseurladen, dem Ein-Menschen-Unternehmen? Was kann dem passieren?
SPIEGEL: Das ist gerade nur cyber-sicherheitsthematisch alles Mögliche, angefangen von sämtliche Buchhaltungsunterlagen sind weg plus sämtliche Online-Zugriffe sind weg. Mannigfaltig. Also was kann ihm passieren? Es kann bis zu wirklich geschäftsschädigend sein. Wieder zurückkommend auf dieses Beispiel von dieser Baseline Security, da gibt es auf der Homepage der Wirtschaftskammer gute Kooperation mit denen, verschiedenste Videos, die sich die Öffentlichkeit anschauen kann, wo große Firmen sagen, was hat bei ihnen ein Cyber-Sicherheitsvorfall bewirkt? Was hat nicht funktioniert? Wie viel hatten sie zum Beispiel zu zahlen? Das sind diese Ransomware-Attacken.
KNEIDINGER: Aus unserer Erfahrung heraus sprechend, wir haben schon gemerkt, dass das bei der Bevölkerung sehr angekommen ist. Also wir haben jetzt sogar die epicenter.academy gegründet, das ist ein Ableger von uns, der sich nur mit digitaler Selbstverteidigung auseinandersetzt. Da wenden wir uns an Schulen, aber auch an KMUs, EPUs, wo wir denen beibringen, wie kann ich durch einfache Schritte sicherstellen, dass ich nicht in die Falle von Kriminellen tappe, im digitalen Kontext. Da merken wir schon, da gibt es auch viel Bereitschaft von den Personen, zu lernen, aber da muss man auch auf sie zugehen. Und da ist natürlich jetzt der Staat in der Ziehung, dass er für Möglichkeiten sorgt, dass er das fördert, dass es auch genug Fachkräfte gibt, die da überhaupt helfen können.
SPIEGEL: Wenn ich da ergänzen darf, weil ich glaube, das war wirklich diese Passwort-Awareness. Die war vor dem Anfang der ganzen NIS noch nicht wirklich gegeben. Aber jetzt, allein durch die ganze mediale Berichterstattung mit Firma XY ist gehackt oder meine Daten sind wieder irgendwo online – ich glaube, dass es einfach schon mehr Awareness gibt. Was ein bisschen vielleicht fehlt, sind diese Guidelines, was kann ich dagegen machen, wie kann ich mich besser schützen. Dass Cybercrime oder die Cyberwelt mannigfaltige Bedrohungen bietet, das ist mittlerweile auch der breiten Öffentlichkeit bekannt.
LUKÁŠ: Ja, ich glaube auch, dass es bekannt ist, ob es dann immer auf sich selbst bezogen wird, ist der nächste Schritt. Dass es einem selbst auch so passieren kann. Aber gehen wir ganz kurz zu dieser Frage, die wir eingangs besprochen haben, nämlich die Frage der Sicherheit und der Freiheit. Da würde ich den Herrn Kneidinger noch einmal zu Wort bitten. Denn das Wesen von Sicherheitsmaßnahmen scheint sehr oft zu sein, dass sie die Freiheit ein bisschen beschneiden. Wo denken denn Sie, ist speziell im digitalen Raum die Grenze erreicht? Und ab wann wird aus Sicherheit Überwachung, also die Freiheit zu stark eingeschränkt?
KNEIDINGER: Gute Frage. Gerade dieses Argument, dass Freiheit und Sicherheit kommunizierende Gefäße wären und dass ich immer entweder auf Freiheit oder Sicherheit verzichten müsste, damit ich mehr von anderen habe, das glauben wir eben nicht. Wir glauben, das ist ein bisschen ein Trugschluss, das ist zu vereinfacht. Es gibt sehr viele Beispiele, wo Freiheit eingeschränkt wird, aber ich nicht mehr Sicherheit habe. Zum Beispiel, wenn es die Meinungsfreiheit betrifft. Gleichzeitig gibt es auch viele Beispiele, wo ich Sicherheit stärken kann, ohne die Freiheit einzuschränken. Ich habe vorhin kurz erläutert, aus unserer Sicht ist Cybersicherheit etwas Partizipatorisches, Inklusives. Da gibt es viele Beispiele, wo man sagen kann, das erhöht Cybersicherheit für alle, ohne dass es die Freiheit einschränkt. Der nächste Punkt, das ist der, dass es oft so dargestellt wird, dass Sicherheit so eine Art monolithischer Block wäre. Das ist Sicherheit und dann denkt man gar nicht darüber nach, dass es ja unterschiedliche Ideen oder Ausprägungen davon gibt. Da habe ein klassisches Beispiel mitgebracht, das sehr oft in der Diskussion ist und das ich jetzt nicht so lange bespielen möchte, aber das betrifft den sogenannten "Bundestrojaner". Wenn ich den Bundestrojaner, also staatliche Spähsoftware einsetzen möchte, dann brauche eine Sicherheitslücke. Das heißt, die Sicherheitslücke, damit das eingesetzt werden kann, muss weiterhin offen gehalten werden oder sie muss erzeugt werden. Das Thema ist, diese Sicherheitslücke kann genauso auch von Kriminellen benutzt werden. Das heißt, der Staat macht hier die Entscheidung, ich schränke die Grundrechte und Grundfreiheiten der Bürger ein, indem die Sicherheitslücke weiterhin offen ist und gleichzeitig verzichte ich auf allgemeine IT-Sicherheit, weil auch die anderen bösen Akteure diese Sicherheitslücke verwenden können, damit der Staat eine spezifische Form der Sicherheit herstellen kann. Das heißt, dieses "die sind uns aber gleich" ist immer ein bisschen unglücklich.
LUKÁŠ: Ich bin ja die Vertreterin der Hörerinnen und Hörer da draußen. Wenn ich das jetzt höre, dass für den Bundestrojaner die Sicherheitslücke offen gelassen wird, durch die auch Kriminelle eindringen können, dann frage ich mal: Ist das, was der Bundestrojaner bringt, so viel besser als die Bedrohung? Oder kann man das vielleicht kurz einordnen? Weil das hat beunruhigend geklungen.
KNEIDINGER: Das ist eine Abwägungsfrage. Nach unserer Meinung eher nicht, weil wir glauben, es ist wichtiger, die allgemeine IT-Sicherheit zu stärken.
LUKÁŠ: Aha!
KNEIDINGER: Das ist auch der Punkt, den wir zum NIS-2-Gesetz vorgebracht haben, dass es hier einen Zielkonflikt gibt. Auf das wollen wir genau hinaus, dass diese Darstellung, man muss Freiheit aufgeben, damit wir mehr Sicherheit bekommen, einfach verkürzt ist. Es gibt unterschiedliche Ausprägungen von Sicherheit, unterschiedliche Vorstellungen von Sicherheit. Gleichzeitig gibt es viele Maßnahmen, wie ich Sicherheit herstellen kann, ohne dass ich auf Freiheit verzichte.
SPIEGEL: Wobei ich sagen muss, dass wir im NIS-2-Gesetz den Entwurf, der vor allem auch im Parlament diskutiert wurde, keinen Bundestrojaner vorsehen.
KNEIDINGER: Exakt.
SPIEGEL: Das ist nicht vorgesehen.
KNEIDINGER: Die Frage zum Umgang mit dieser Sicherheitslücke, das betrifft dann wieder NIS-2.
LUKÁŠ: Jetzt wurde ungefähr fünfmal schon NIS-2 hier erwähnt, und wir gehen jetzt ganz kurz in das Thema Cybersicherheit rein, damit sich unsere Hörerinnen und Hörer kurz auskennen. Ein kleiner Einblick. In Österreich, schauen wir uns mal die Lage an, haben sich die Cyberangriffe zuletzt innerhalb von zwölf Monaten mehr als verdreifacht. Also deutlich stärkere Bedrohung. Das steht in der Studie "Cyber Security Österreich 2024". Für alle, die es interessiert, das verlinken wir in den Shownotes. Weiter steht dort, zwölf Prozent der in der Studie befragten Unternehmen hätten dadurch Schaden von mehr als einer Million Euro zu verzeichnen, mehr als die Hälfte Schäden von mindestens 100.000 Euro. Das ist für jeden Unternehmer und jede Unternehmerin beunruhigend, diese Zahlen. Cyberkriminalität scheint also ein erhebliches Problem für die Wirtschaft zu sein. Und nun hat die EU eine Richtlinie erlassen, die in den Mitgliedstaaten umgesetzt werden soll, nämlich die, heute schon öfter erwähnte, NIS-2-Richtlinie. Und NIS steht für Netz- und Informationssystemsicherheit und 2, weil es schon eine solche Richtlinie gibt. So, Herr Spiegel, jetzt erteile ich Ihnen das Wort.
Ihre Abteilung ist mit der Umsetzung dieser Richtlinie im österreichischen Recht betraut. Und nun die Herausforderung. Können Sie uns in einfachen und kurzen Worten erklären, was ist der Zweck von NIS-2?
SPIEGEL: Der Zweck von NIS-2, ich versuche es wirklich ganz, ganz runterzubrechen.
LUKÁŠ: Das wissen wir zu schätzen.
SPIEGEL: Es geht darum, die Unternehmen einfach cybersicherer aufzustellen. Einerseits mit was sie machen müssen, welche Maßnahmen sie treffen müssen. Da gibt es wirklich einen großen Katalog mit was sie zu tun haben. Andererseits welche Begleitmaßnahmen müssen sie machen. Kernpflicht ist, sie müssen ein Risikomanagement haben. Sie müssen diese Maßnahmen im Unternehmen umsetzen und wenn etwas passiert, müssen sie das melden an die staatlichen Behörden. Im Vergleich zu NIS-1, weil ich schon gesagt habe, NIS-1 haben wir schon, das ist schon in Kraft: Das ganz Besondere an NIS-2 ist, dass der Adressatenkreis sich ver-X-facht hat. So haben wir unter NIS-1 ungefähr 100, wir haben es Betreiber genannt, wesentlicher Einrichtungen. Das ist die kritische Infrastruktur. Das waren bei uns so 100, die für uns damals bescheidmäßig festgestellt wurden. Ihr seid das, dementsprechend bitte schaut auf eure Systeme, überwacht die, und wenn was ist, meldet das. Unter NIS-2 ist es eine ein bisschen andere, wie soll ich sagen, eine große Baustelle. Wir hatten, Rufzeichen, an die 6.000 Normunterworfene. Also man sieht, der ganze Adressatenkreis ist ver-X-facht. Es geht weg von dieser wirklichen kritischen Infrastruktur, von den wirklichen Kernsachen – wenn die nicht mehr funktioniert, tut es in Österreich wirklich weh – auf eine viel, viel breitere Basis. Und es sind auch wirklich viel mehr Sektoren reingekommen. Zum Beispiel ganz neu: Abfallwirtschaft und so weiter. Es ist wirklich extrem breit. Jeder Bürger hat wahrscheinlich dort irgendwelche Berührungspunkte von Unternehmen, die unter NIS-2 fallen.
LUKÁŠ: Gut, und dieses Gesetz, über das wird noch verhandelt? Denn beschlossen wurde es ja noch nicht.
SPIEGEL: Korrekt. Unser Umsetzungsentwurf der Richtlinie war am 3.7., glaube ich, im Nationalrat zur Debatte und ist dort gescheitert. Vielleicht kurze Erklärung: Dieses Gesetz braucht eine Zweidrittelmehrheit, weil wir mehrere Betroffenheiten haben, einerseits von Ländern und so weiter. Also es sind mehrere Materien drinnen, wo wir eine Verfassungsmehrheit brauchen von Zweidritteln. Und das war damals halt nicht gegeben.
LUKÁŠ: Das ist schwierig zu erreichen, da muss man argumentativ wahrscheinlich sehr stichhaltig sein.
SPIEGEL: Ja. Plus natürlich, wie ich schon erklärt habe, es fällt wirklich extrem viel unter diese Richtlinie und da muss man ja schauen, dass man die richtige Interessensabwägung trifft. Ein Sektor ist zum Beispiel die öffentliche Verwaltung, inklusive die öffentliche Verwaltung der Länder. Natürlich, da hatten wir einige Diskussionsrunden mit Ländervertretern. Wie funktioniert die Richtlinie auf Landesebene? Was brauchen die? Welche Sorgen haben die auch? Wir haben versucht, das möglichst gut abzufedern, aber natürlich, es geht nicht immer alles.
LUKÁŠ: Aber umgesetzt muss sie werden, schließlich, früher oder später?
SPIEGEL: Ja, sonst droht wie bei jeder Richtlinie, das sogenannte Vertragsverletzungsverfahren mit dann potenziellen Strafzahlungen, die Österreich zu leisten hat.
LUKÁŠ: Dann frage ich nur aus reiner Neugier, bis wann müsste sie denn umgesetzt werden, die gute NIS-2-Richtlinie?
SPIEGEL: 17.10.2024, also wir sind jetzt ungefähr…
LUKÁŠ: Verstehe.
SPIEGEL: Knapp, knapp.
LUKÁŠ: Okay, verstehe. Herr Kneidinger, das klingt ja eigentlich alles ganz vernünftig. Diese NIS-2-Richtlinie scheint zum Schutz aller gut zu sein. Trotzdem kritisieren Sie den Gesetzentwurf. Würden Sie uns vielleicht die Gegenposition kurz darlegen, damit wir die verstehen?
KNEIDINGER: Gerne. Also gleich vorab: Die Richtlinie an sich und auch das übergeordnete Ziel unterstützen wir genauso. Da sind Herr Spiegel und ich völlig d'accord. Was man aber sagen muss, das betrifft einzelne konkrete Vorschläge in dem Gesetzesentwurf, die uns einfach stören. Die kommen wahrscheinlich wohl auch aus eher politischer Seite, also aus sachpolitischer Seite, und da ist sozusagen aus unserer Sicht der Kardinalfehler die starke Machtkonzentration im Innenministerium. Es ist nämlich so, dass in den vielen europäischen Staaten, die gerade im Cyberbereich führend sind, da ist vorgesehen, dass eine unabhängige Behörde oder eine unabhängig ausgestattete Stelle mit der Durchführung von einem Gesetz betraut ist. In Österreich ist es der Innenminister selber. Und der bekommt er jetzt auch einen Haufen an Kompetenzen und Datenverarbeitungsbefugnisse. Das ist natürlich vielen Seiten sehr sauer aufgestoßen, weil auch die Ausprägung, aus unserer Sicht, ein bisschen überschießend und sehr stark ist. Da muss man sich vergegenwärtigen, die Kritiker waren jetzt nicht nur wir, sondern das war das Verteidigungsministerium, das war das Gesundheitsministerium, das war die Rechtsanwaltskammer, die das stark kritisiert hat, diese Position vom Innenministerium. Gerade deshalb muss man das weiter kritisieren. Wir glauben auch, es gibt nicht nur den Fakt der Machtkonzentration, der auch aus rechtsstaatlicher Sicht einfach kritisch ist. Da spielt auch mit rein, dass wir einfach die Angst haben, dass da Zielkonflikte entstehen können. Wie das Beispiel, das ich vorher genannt habe mit der Verwendung von Sicherheitslücken. Soll ich sie schließen, damit die allgemeine IT-Sicherheit gefördert ist? Das wäre unser Verständnis von IT-Sicherheit. Da ist es auch gut, wenn es eine unabhängige Stelle entscheidet. Oder soll das vielleicht von einem Bundestrojaner verwendet werden, was dann ebenso vom Bundesminister für Inneres entschieden werden würde? Deshalb sehen wir da so eine starke Kritik an dem Ganzen. Es gibt aber weitere Beispiele, die uns stören. Diese Sicherheitslücken, die ich vorhin beschrieben habe, die ja für alle sehr kritisch sein können - sehr oft stoßen gutwillige Sicherheitsforscher, Personen aus der Zivilgesellschaft, junge Hacker, auf solche Sicherheitslücken und geben das bekannt, damit die auch geschlossen werden können. Gleichzeitig gibt es auch kriminelle Akteure, die auf Suche nach den Sicherheitslücken sind und die dann im Darknet zu Geld machen. Wir möchten gern, dass es einen sicheren rechtlichen Rahmen für gutwillige Sicherheitsforscher gibt. Das heißt, es sind die, die keine Daten abgreifen, wenn sie eine Sicherheitslücke sehen, die diese Sicherheitslücke rechtzeitig bekannt geben, entweder an staatliche Akteure oder an die Softwareprovider, die davon betroffen sind, damit das rechtzeitig geschlossen werden kann. Derzeit gibt es in Österreich noch eine Art Regelungslücke, da ist es möglich, dass man strafrechtlich verfolgt wird. Das ist uns selber als Verein passiert und auch unserem Geschäftsführer. Das war eine sehr unangenehme Situation, die sich sehr lange gezogen hat, die auch mit großen finanziellen Aufwendungen für einen kleinen Verein wie uns verbunden war. Das waren 15.000 Euro, das ist für uns irrsinnig viel Geld. Und es erzeugt auch einen massiven Druck. Das ist ja absurd, weil eigentlich sollte der Staat froh sein, wenn solche gutwilligen Sicherheitsforscher tätig sind, wenn sie die melden. Aber durch die derzeitige Ausgestaltung, durch die strafrechtliche Situation beziehungsweise durch die Ansiedlung beim Innenministerium, ist es nicht dazu geneigt, Vertrauen zu fördern und das muss geändert werden.
LUKÁŠ: Und das wäre in einer zukünftigen NIS-2-Richtlinie ebenso der Fall, dass diese Tatbestände erhalten bleiben würden?
KNEIDINGER: Die NIS-2-Richtlinie hat nur zum Ziel, dass diese Offenlegung vereinfacht wird. Diese Mindestanforderung wird auch umgesetzt im Gesetz, das heißt, da sind anonyme Meldungen möglich. Hier hat aber der europäische Gesetzgeber nicht das Pouvoir, auch Strafrechtliches zu regeln. Das heißt, da hat man regeln können, dass die strafrechtlichen Regelungen in Österreich angepasst werden. Es gibt aber starke Empfehlungen dazu. Österreich hat sich dann dazu entschieden, hier im Strafgesetz nichts anzupassen. Das heißt, wir haben zwar die Möglichkeit, anonym zu melden, aber ich habe immer die Bedrohung durch das Strafrecht.
SPIEGEL: Es gibt genau zu diesem Thema, diesen Schwachstellen, einen Fachterminus: Coordinated Vulnerability Disclosure. Das ist die Möglichkeit, Schwachstellen, die ich als Sicherheitsforscher finde, zu melden, an eine Behörde oder sonstiges. Und es gibt unser Strafrecht. Das ist hier vielleicht ein bisschen streng/uneindeutig, wie das aufzulösen ist. Diesbezüglich hat auch im Zuge der NIS-2-Gesetzgebung, beziehungsweise als wir angefangen haben, uns vor eineinhalb Jahren die ersten Gedanken zu machen, wie wir das umsetzen, eine Arbeitsgruppe, unter Leitung des BMIs, angefangen zu überlegen: Wie können wir die österreichische bestehende Gesetzgebung so ändern, dass diese Schwachstelle, also diese freiwillige Meldung von Schwachstellen, möglich ist? Das ist noch ein Prozess. Aber das ist natürlich auf unserer Agenda.
LUKÁŠ: Ja, denn für gemeine Bürgerinnen wie mich klingt das eigentlich super logisch, dass da alle zusammen helfen sollten, um diese Sicherheitslücken zu schließen. Aber da wird es wahrscheinlich mehrere Ebenen geben.
SPIEGEL: Es sind mehrere Ebenen. Natürlich, man braucht ein extrem gutes Verhältnis zwischen den Behörden. Der, der meldet, muss wissen, dass das, was er meldet, auch nicht anders benutzt wird. Gerade wenn es um eine Schwachstelle geht, die ich eigentlich auch ausnutzen könnte. Die Bürger auszuspähen zum Beispiel. Das ist ein drastisches Beispiel, aber ja, darum geht's. Und da brauchen wir wirklich ein gutes Vertrauensverhältnis zwischen Melder und Behörde, damit das auch geht. Und natürlich, dass das auch angenommen wird, dass ich etwas melden kann, wenn ich etwas finde.
KNEIDINGER: Genau diese Nichtregelung in dem Bereich stärkt aus unserer Sicht auch die Argumentation für eine unabhängige Cyber-Sicherheitsbehörde. Weil aus unserer Sicht hat ein Ministerium hier nicht ganz verstanden, um was es geht. Und das ist eine Frage von einem Spannungsverhältnis wieder, Strafverfolgung, Gefahrenabwehr und allgemeiner IT-Sicherheit.
LUKÁŠ: Ich muss sagen, ich bin extrem in diesem Thema drin. Sie beide haben mich gut reingeholt, obwohl ich keine große Grundkenntnis davon habe. Kommt mir vor, ich verstehe es und ich bin wirklich interessiert. Nichtsdestotrotz muss ich ganz kurz für unsere drei Fragen, die wir allen Gästen stellen, unterbrechen. Und die haben mit diesem Thema einfach gar nichts zu tun. Und ich beginne jetzt mit dem Herrn Spiegel. Wir beginnen mit der Jahreszeitenfrage. Ich bitte um eine kurze Antwort. Frühling oder Herbst?
SPIEGEL: Eher Frühling.
LUKÁŠ: Kompromiss oder beste Lösung?
SPIEGEL: Als Jurist muss ich sagen, es kommt darauf an. Legistisch natürlich die beste Lösung.
LUKÁŠ: Punkt.
SPIEGEL: Als Erwartung für ein Gesetz natürlich die beste Lösung.
LUKÁŠ: Und wo fängt für Sie Demokratie an?
SPIEGEL: Ich glaube, die klassische Antwort wäre gewesen, beim ersten Mal wählen, aber für mich ist das eigentlich, sobald man die Möglichkeit hat, sich irgendwo zu beteiligen in Entscheidungsfindungsprozessen, würde ich sagen.
LUKÁŠ: Danke.
SPIEGEL: Kann sehr früh sein.
LUKÁŠ: Ja? Im Kindergarten zum Beispiel? Plenum, kann ich hier nur sagen. Herr Kneidinger, Sie bekommen dieselben Fragen, aber vielleicht fallen die Antworten unterschiedlich aus. Frühling oder Herbst?
KNEIDINGER: Selbe Antwort, Frühling. Nach einem kalten grauen Winter in Wien brauche ich Frühling.
LUKÁŠ: Ja, jeder, der in dieser Stadt lebt, versteht, wovon die Rede ist. Kompromiss oder beste Lösung?
KNEIDINGER: Ich glaube, sehr oft kann der Kompromiss auch die beste Lösung sein, wenn es nur um sachpolitische Fragen geht.
LUKÁŠ: Und wo fängt für Sie Demokratie an?
KNEIDINGER: Da bin ich auch der Meinung vom Herrn Spiegel. Also eigentlich immer dann, wenn ein offener Diskurs beginnt, so wie wir es jetzt auch gerade machen, wo sich unterschiedliche Seiten begegnen und sich mal austauschen.
LUKÁŠ: Dankeschön. Dann gehen wir wieder zurück zu unserem Thema, über das wir stundenlang reden könnten. Ich jedenfalls könnte stundenlang Fragen dazu stellen, weil ich finde es wirklich hochspannend, dieses Verhältnis zwischen Sicherheit und Freiheit im digitalen Raum, weil ich glaube, dass jetzt auch sehr viel über unsere Zukunft entschieden wird. Weil wir doch immer noch in diesen Anfangstagen sind, auch wenn es sich teilweise gar nicht mehr so anfühlt. Aber da wird ein Raum gebaut, der viel entscheidet in den nächsten Jahrzehnten wahrscheinlich. Also, mir kommt ja vor, als hätten alle gern mehr Sicherheit. Mir kommt vor, das ist Konsens. Manche scheinen aber eben denjenigen zu misstrauen, die sie durchsetzen müssen, sollen oder wollen. Werten Sie das als gesunden Impuls, Herr Kneidinger?
KNEIDINGER: Misstrauen ist vielleicht ein bisschen zu stark. Ich glaube, es gibt einen Stehsatz, Macht braucht Kontrolle. Und das ist hier genauso. Also immer da, wo es Informationskonzentration gibt, da muss es auch eine Kontrolle geben, das ist das Wesen von unserer Demokratie, deswegen haben wir Gewaltenteilung, deswegen gibt es auch in einzelnen Ministerien Rechtsschutzbeauftragte, die darauf achten, was machen denn die Behörden überhaupt.
Und klar, unsere Funktion als NGO ist es hier auch einfach, Public Watchdog zu sein, aufzupassen, was denn passiert. Und da muss man auch sagen, da geht es oft um systemische Fragen, da geht es gar nicht darum, dass Sie jetzt einem einzelnen Proponenten von einem Vorschlag nicht vertrauen, sondern da geht es einfach nur darum, dass es unterschiedliche Ziele gibt und die muss man dann aufzeigen und schauen, dass es einen guten Ausgleich gibt.
Und daher, Misstrauen ist vielleicht ein bisschen zu stark. Man muss auch sagen, diese Kontrolle schafft auch Vertrauen. Und wie schon vorhin gesagt, dieses Vertrauen brauchen wir, damit die IT-Sicherheit in dem Land auch funktioniert. Eine zentrale Stelle alleine wird das nicht umsetzen können. Und mir kommt vor, diese Information ist schon langsam auch eigentlich bei den Ministerien angekommen, die jetzt auch dabei sind, schon langsam einfach auch auf die Zivilgesellschaft zuzugehen, auf die Wirtschaft zuzugehen, die sich bemühen, dass da Vertrauen geschafft wird. Wir sehen das mal als guten Startpunkt, aber da muss es natürlich weitergehen.
LUKÁŠ: Und Sie, Herr Spiegel, verhindert das nicht manchmal gute Lösungen? Ich denke da an das sogenannte Sensornetz. Das ist eine Idee, die das Bundesministerium des Inneren seit einigen Jahren verfolgt. Könnten Sie uns vielleicht kurz sagen, was ist dieses Sensornetz eigentlich? Und die ursprüngliche Frage mitbeantworten, ob das nicht manchmal gute Lösungen auch behindert, diese Kritik von außen?
SPIEGEL: Jein. Die Kritik, wenn es eine gute Kritik ist, muss eigentlich meistens auch berücksichtigt werden. Gerade bei dem Beispiel, das Sensornetz, der Paragraph, der steht sogar bei uns im geltenden Paragraph 13 NIS-Gesetz aus 2018. Da gab es schon die Idee des Sensornetzes, damals auch wirklich federführend vom BMI, weil die das auch betreuen wollten. Wir haben das Gleiche jetzt auch wieder im NIS-2 Entwurf. Es geht darum – und da ist wirklich die große Frage des Vertrauens –, dass man, sehr vereinfacht gesprochen, einen Sensor, das ist ein kleines Kasterl, das der Staat zur Verfügung stellt, in das eigene Netz des Unternehmens rein stellt.
LUKÁŠ: In den Server?
SPIEGEL: In den Serverraum, sehr vereinfacht gesagt, ich möchte jetzt nicht zu technisch werden. Und dort wird einfach überwacht, gemonitort, diese ganzen Bewegungen, die es gibt im Netz. Sprich, Income und Outcome Traffic. Umso mehr von diesen Sensoren Österreich-weit verteilt sind, umso mehr könnte man früh erkennen, da kommt etwas daher, was einem gewissen Muster, zum Beispiel eines Angriffs, folgt. Dementsprechend könnte man relativ früh potenziell dagegen steuern. Entweder mit einer Aussendung, bitte passt auf, diese Ports müsst ihr blockieren, sehr untechnisch gesprochen. So ist die Idee eigentlich. Es gibt Mitgliedstaaten der EU und, ich glaube, auch Norwegen, die haben so was und haben sehr interessante Erkenntnisse daraus und konnten wirklich großflächige Angriffe so frühzeitig erkennen, dass es de facto nicht zum Schaden gekommen ist. Das ist die Idee. Natürlich, wie vertraut man der Behörde, die dieses Sensornetzwerk etabliert oder betreibt? Und da haben wir ein Spannungsverhältnis.
LUKÁŠ: Aber ganz naiv gefragt, dieses Kasterl, diesen Sensor, der sich da mit den anderen Sensoren zu einem Netz zusammenschließt, den gibt es schon?
SPIEGEL: Es gibt Überlegungen, was man dafür nehmen könnte. Es gibt Produkte, andere Mitgliedsstaaten haben das im Einsatz. Ich muss auch sagen, das ist die Kompetenz des Innenministeriums, ich habe keine Ahnung, wie konkret die schon ein Produkt vor Augen haben, das sie gerne einsetzen würden.
LUKÁŠ: Okay, aber ich wollte nur wissen, ob man sich das lässig für das eigene Unternehmen bereits bestellen kann. Offensichtlich nicht, denn es ist noch nicht in Österreich im Einsatz.
SPIEGEL: Nein.
LUKÁŠ: Nein. Der Herr Kneidinger wollte noch etwas hinzufügen.
KNEIDINGER: Es stimmt, also den Vorschlag hat es schon im alten NIS-Gesetz gegeben, wo wir es auch schon kritisiert haben, also da bleiben wir konzise. Unser Thema ist natürlich, dass es das Potenzial hat, sehr viele Informationen abzugreifen. Und wenn die zentralisiert zusammenkommen in einem Ministerium, wo auch noch andere Informationen zusammenlaufen, wie im Innenministerium, dann haben wir einfach Bedenken, dass das zu sehr in eine Richtung geht, die wir einfach nicht wollen. Deswegen haben wir auch klar gesagt, so wie es derzeit ausgestattet ist, gibt es die Möglichkeit für uns zur Massenüberwachung. Ich weiß, großes, böses Wort, aber da muss man halt überlegen, wie kann man vielleicht hier noch ein bisschen gesetzlich genauer determinieren. Wie kann man überlegen, dass man das ausgestaltet, vielleicht mit einer Open-Source-Lösung oder einfach an eine Stelle geben, wo mehr Vertrauen besteht. Ich verstehe, da gibt es immer wieder Probleme mit der rechtlichen Determinierung von solchen Lösungen, weil halt einfach die Technik, die immer so viele Fortschritte macht, dass teilweise die Gesetze dann veraltet sind. Aber da muss man halt einen Weg finden, dass man dann Interessensausgleich schafft. Ansonsten, aus unserer Perspektive haben wir Bauchweh.
LUKÁŠ: Gäbe es die Möglichkeit, dass nur gewisse Daten ausgelesen werden? Dass quasi nur die Muster überwacht werden, aber es sind dann keine, im normalen Raum nennt man das personalisierte Daten, die sind dann niemandem zugeordnet? Dass nur, wenn Gefahr droht, derjenige informiert wird, ohne dass die Informationen dann wirklich pointiert zugeordnet werden können? Es ist sehr batschert formuliert.
SPIEGEL: Das Problem ist ja, wenn so etwas funktionieren soll, hat man keine Ahnung, welche Art von Daten daherkommen. Und das ist genauso das große Problem des Betriebs einer Sandbox. Eine Sandbox ist im Prinzip eine eigene kleine Software, die läuft in einer abgesicherten Umgebung. Und wenn zum Beispiel das klassische E-Mail-Attachment daherkommt und ich bin mir nicht sicher, kenne ich den Absender oder sonst irgendwas, ich gebe das in die Sandbox und mache es dort auf, weil das ist eine abgesicherte Umgebung, wo rein theoretisch nichts passieren kann. Wenn da jetzt ein großer Virus drinnen ist, sehe ich, es ist ein Virus, juhu, es ist nichts passiert. Und im Prinzip, die Idee ist ähnlich. Das heißt, man weiß nicht, was da drinnen ist, dementsprechend ist es auch extrem schwierig, das wurde auch bei beiden Entwürfen auch bei NIS-1 schon kritisiert, datenschutzrechtliche Bestimmungen einzuhalten. Es wird immer gefordert ein taxativer Katalog, welche Art von Daten dort verarbeitet werden. Und ich sage immer, ich verstehe die Idee, warum man das gern hätte, sehr eingeschränkt. Wir können das nicht liefern, wir wissen nicht, welche Daten daherkommen. Und diese Diskussion haben wir, glaube ich, schon seit 2018. Wir haben es logistisch wirklich extrem verschärft. Ich muss jetzt auch sagen, ich möchte den eigenen Gesetzentwurf, der aus meiner Teilnahme kommt, verteidigen, aber wir haben auch vom Datenschutzrat eine relativ positive Stellungnahme gehabt mit, ja okay, mehr geht es halt nicht.
KNEIDINGER: Zum verbesserten Entwurf?
SPIEGEL: Zum Verbesserten, ja.
KNEIDINGER: Sorry, ich glaube, es ist klar, wir haben da beide einfach andere Interessen. Beide kommen mit gutem Gewissen an das Thema heran. Aber ich sehe natürlich, wenn ich höre, ich kann nicht unterscheiden, das Problem darin. Weil das können massenhafte Daten sein, das kann sehr sensibel sein. Und jetzt sollen dann die Unternehmen entscheiden, die sich das reinstellen, was ich dann weitergebe oder nicht? Das weicht eigentlich ein bisschen die Idee des Datenschutzes auf. Und das ist einfach die große Kritik daran und das ist auch, glaube ich, einer der Punkte, warum das Gesundheitsministerium halt auch so ein Bauchweh hatte bei solchen Themen. Die haben sehr stark die datenschutzrechtlichen Aspekte kritisiert und das ist ein Spannungsverhältnis. Und da ist natürlich die Frage, wie man das verbessern kann und die Diskussion wird sicherlich weiter bestehen. Da werden wir uns heute auch nicht einigen vermutlich.
SPIEGEL: Gut, da waren vor allem auch die Bedenken mit, es werden dann automatisch die gesundheitsrelevanten sehr, sehr sensiblen Daten verarbeitet, was eigentlich nicht die Intention der ganzen Idee war.
LUKÁŠ: Man weiß nicht was drin ist, gell? Ich finde es auf jeden Fall gut zu wissen, dass sich kluge Köpfe intensiv Gedanken um dieses Thema machen, von welcher Seite auch immer sie herangehen. Das ist doch gut. Als letzte Frage hätte ich an Sie beide, Sie können sich gerne dann ausschnapsen, wer als erster antworten will: Wie können wir zu mehr Vertrauen im digitalen Raum kommen? Das ist fast eine philosophische Frage, glaube ich. Ich würde mit dem Herrn Spiegel anfangen.
SPIEGEL: Also aus Behördensicht: Es kommt extrem viel von EU-Ebene runter, die genau da Regelungen treffen. Wir müssen das, und das ist eher unser To-Do, erstens umsetzen und zweitens erklären, was das bringen soll. Ein Mini-Exkurs: Ich habe groß erklärt die NIS-2-Richtlinie, die sich richtet auf die kritische Infrastruktur. Das nächste große Ding, das eigentlich gekommen ist, ist der Cyber Resilience Act. Wird wahrscheinlich jetzt in den nächsten Wochen oder Tagen in Kraft treten, ist-gleich im offiziellen Journal der Europäischen Union publiziert werden. Der geht genau in die andere Richtung, der geht weg. Also nicht die kritische Infrastruktur, sondern die Produkte. Und da müssen dann die ganzen Produkte cybersicher werden. Dieser Rechtsakt hat wahrscheinlich noch ähnliche oder größere Auswirkungen als NIS-2.
LUKÁŠ: Was bedeutet denn das, die Produkte müssen cybersicher werden? Was heißt denn das?
KNEIDINGER: Software zum Beispiel.
LUKÁŠ: Software. Digitale Produkte müssen cybersicher werden.
SPIEGEL: Angefangen bei Software, Produkte mit digitalen Elementen. In unserer jetzigen Zeit, was ist denn kein Produkt mehr mit digitalen Elementen?
LUKÁŠ: Die Zahnbürste vielleicht.
SPIEGEL: Wenn ich mir das anschaue, so manche Zahnbürsten, die dann mit App dir anzeigen, ob man fest genug putzt. Nein, also das ist mittlerweile fast alles. Und da geht es jetzt in die andere Richtung. Also das ist gerade unsere große Challenge. Es kommt extrem viel daher. Und die Intention ist immer da, Schaffung von mehr Cybersicherheit.
KNEIDINGER: Vertrauen, wie man weiß, braucht lange, bis es aufgebaut ist und ist dann aber relativ schnell verspielt. Und ich glaube, jetzt ist es wichtig einfach, weil mir kommt vor, da gibt es Bemühungen, gerade von staatlicher Seite, mehr Vertrauen aufzubauen. Ein Beispiel ist die Cyber-Sicherheitsplattform mit der Intention, einen verstärkten Austausch zu schaffen zwischen staatlicher Seite, Zivilgesellschaft, Wirtschaft, Wissenschaft, aber da muss es noch weitergehen.
Dieser letzte Gesetzesvorschlag, der hat aus unserer Sicht schon wieder ein bisschen Vertrauen weggenommen. Gerade durch die Ausgestaltung dieser Behörde, gerade durch die fehlende rechtliche Absicherung von der Meldung von Schwachstellen, sind einfach Schritte passiert, die wir nicht gutieren können, wo wir auch mitbekommen aus der Wissenschaft, aus der Wirtschaft, dass das nicht gern gesehen wird. Das heißt, unser Appell, jetzt unbedingt noch weiter dranbleiben am NIS-2-Gesetz, die Kritik, die sich aus unterschiedlichsten Stellungnahmen ergeben hat, aufzunehmen. Wobei, diese Kritik und diese Aufforderung richtet sich auch eher an die politischen Proponenten, die diese Ideen sogar aufbringen. Nicht direkt an die staatliche Verwaltung, sondern an die politischen Proponenten, dass das Thema nochmal behandelt wird und nochmal so, dass wir alle gemeinsam für mehr Cybersicherheit sorgen können.
LUKÁŠ: Danke schön. Danke, dass Sie zu Gast waren hier bei unserem Podcast und sich den Weg ins Parlament gemacht haben. Ich wünsche Ihnen noch gute weitere Arbeit und erfolgreiches Zusammenkommen.
KNEIDINGER: Danke für die Einladung.
SPIEGEL: Vielen Dank.
LUKÁŠ: Und das war es auch schon wieder mit "Rund ums Parlament". Ich hoffe, euch hat diese Folge gefallen und ihr habt sie genauso spannend gefunden wie ich.
Wenn ja, dann gebt uns gerne eine Bewertung, das würde uns sehr freuen. Und abonniert uns, wenn ihr das noch nicht getan habt. Dann verpasst ihr auch die nächste Folge zum Thema Demokratie und Digitalisierung nicht. Bis dahin hört euch gern durch die früheren Folgen von "Rund ums Parlament", zum Beispiel die Folge "Emotion vs. Vernunft: Warum sinkt das Vertrauen in die Demokratie?". Auch hier geht es um eine offenbar zentrale Sache im gesellschaftlichen Zusammenleben, das Vertrauen, das wir heute ja auch besprochen haben. Falls ihr Fragen, Kritik oder Anregungen zum Podcast habt, dann schreibt uns wie immer gerne eine E-Mail an podcast@parlament.gv.at und schaut auch gerne mal auf der Website und den Social-Media-Kanälen des österreichischen Parlaments vorbei.
Also, ich freue mich schon auf die nächste Folge mit euch. In diesem Sinne sage ich vielen Dank fürs Zuhören. Mein Name ist Tatjana Lukáš. Wir hören uns.
Jingle: Rund ums Parlament. Der Podcast des österreichischen Parlaments.
Fotoalbum zur Folge